防火墙

标签：防火墙 rule FW1 policy dmz trust security

1.概念

防火墙是一种网络安全设备，用于隔离不同安全级别的网络，控制网络之间的通信。总的来说，防火墙的作用是允许流量通过，外网用户的访问需经过安全策略过滤，其中非法流量无法通过防火墙被隔断，内网用户可以直接通过防火墙对外网进行访问。

2.区域

防火墙区域划分可为内网、外网和DMZ三个区域，按照网络安全级别来说，三个区域的级别由高到低为：内网>DMZ>外网。
以华为设备为例，系统缺省已经有四个安全区域

受信区域（Trust）
非受信区域（Untrust）
非军事化区域（DMZ）
本地区域（Local）
另外，网络管理员也可以自定义安全区域，从而实现更加细密的管理控制，自定义的区域安全级别是可以调节的。

3.工作模式

对于一个防火墙设备而言，若设备的每个接口都配有独立的IP地址，则防火墙工作在路由模式；若接口没有配置IP地址，则工作在透明模式；若部分接口有，部分接口没有，则工作在混合模式。

4.配置命令

[Huawei]firewall name zone-name \\firewall name命令后跟zone-name安全区域名称，创建安全区域，并进入安全区域视图
[Huawei]set priority security-priority \\set priority命令后跟security-priority安全级别，为新创建的安全区域配置安全级别，安全级别一旦设置不可更改
[Huawei]add interface interface-type interface-number \\add interface命令后跟interface-type interface-numberj接口名称，将相关的接口加入安全区域

划分内、外网、DMZ区域，并将接口加入其中

[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip address 192.168.2.1 24
[FW1-GigabitEthernet1/0/0]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip address 192.168.3.1 24
[FW1-GigabitEthernet1/0/1]quit
[FW1]firewall zone trust
[FW1-zone-trust]add interface g1/0/0
[FW1-zone-trust]add interface g1/0/1
[FW1-zone-trust]quit
[FW1]int g1/0/2
[FW1-GigabitEthernet1/0/2]ip address 200.10.10.1 30
[FW1-GigabitEthernet1/0/2]quit
[FW1]firewall zone untrust
[FW1-zone-untrust]add interface g1/0/2
[FW1-zone-untrust]quit
[FW1]int g1/0/3
[FW1-GigabitEthernet1/0/3]ip address 192.168.200.1 24
[FW1-GigabitEthernet1/0/3]quit
[FW1]firewall zone dmz
[FW1-zone-dmz]add interface g1/0/3
[FW1-zone-dmz]quit

设置安全放行策略
缺省情况下，local区域到其他安全区域的包过滤是开放的，域间安全策略指不同区域之间的安全策略。
1、配置Trust区域和Untrust区域的防火墙安全放行策略（内网可访问外网，外面不能访问内网）。

[FW1]security-policy
[FW1-policy-security]rule name trust-untrust
[FW1-policy-security-rule-trust-untrust]source-zone trust 
[FW1-policy-security-rule-trust-untrust]destination-zone untrust 
[FW1-policy-security-rule-trust-untrust]source-address 192.168.0.0 0.0.255.255
[FW1-policy-security-rule-trust-untrust]action permit 
[FW1-policy-security-rule-trust-untrust]quit
[FW1-policy-security]quit

2、配置trust区域到DMZ区域的防火墙安全放行策略（内网可访问DMZ区域）。

[FW1]security-policy
[FW1-policy-security]rule name trust-dmz
[FW1-policy-security-rule-trust-dmz]source-zone trust 
[FW1-policy-security-rule-trust-dmz]destination-zone dmz
[FW1-policy-security-rule-trust-dmz]source-address 192.168.0.0 0.0.255.255
[FW1-policy-security-rule-trust-dmz]action permit
[FW1-policy-security-rule-trust-dmz]quit
[FW1-policy-security]quit
3、配置DMZ区域到trust区域的防火墙安全放行策略（DMZ区域可访问内网）。
```java
[FW1]security-policy
[FW1-policy-security]rule name dmz-to-trust
[FW1-policy-security-rule-dmz-to-trust]source-zone dmz
[FW1-policy-security-rule-dmz-to-trust]destination-zone trust 
[FW1-policy-security-rule-dmz-to-trust]source-address 192.168.0.0 0.0.255.255
[FW1-policy-security-rule-dmz-to-trust]action permit 
[FW1-policy-security-rule-dmz-to-trust]quit	
[FW1-policy-security]quit

4、配置DMZ区域到local区域的防火墙安全放行策略（DMZ区域可访问lcoal）。

[FW1-policy-security]rule name dmz-to-local
[FW1-policy-security-rule-dmz-to-local]source-zone dmz
[FW1-policy-security-rule-dmz-to-local]source-zone local
[FW1-policy-security-rule-dmz-to-local]destination-zone dmz
[FW1-policy-security-rule-dmz-to-local]destination-zone local
[FW1-policy-security-rule-dmz-to-local]action permit 
[FW1-policy-security-rule-dmz-to-local]quit
[FW1-policy-security]quit

5、进入防火墙的相关接口，通过service-manage all permit命令允许所有的协议通过（例如以上是四个接口分别是g1/0/0、g1/0/1、g1/0/2、g1/0/3）

[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]service-manage all permit 
[FW1-GigabitEthernet1/0/0]int g1/0/1
[FW1-GigabitEthernet1/0/1]service-manage all permit 
[FW1-GigabitEthernet1/0/1]int g1/0/2
[FW1-GigabitEthernet1/0/2]service-manage all permit 
[FW1-GigabitEthernet1/0/2]int g1/0/3
[FW1-GigabitEthernet1/0/3]service-manage all permit 
[FW1-GigabitEthernet1/0/3]quit

标签：防火墙,rule,FW1,policy,dmz,trust,security
From： https://www.cnblogs.com/myLu01/p/18519037

1.概念

2.区域

3.工作模式

4.配置命令

相关文章

赞助商

阅读排行